Na Play Storu byla zázračná appka, která zvýší výdrž baterie. Nakonec se z ní vyklubal vyděračský ransomware

Na Play Storu byla zázračná appka, která zvýší výdrž baterie. Nakonec se z ní vyklubal vyděračský ransomware

Specialisté z Check Pointu zmapovali další zajímavý ransomare. Říkají mu Charger, cílil na telefony s Androidem a svůj skutečný účel skryl dostatečně kvalitně, aby pronikl i do oficiálního Play Storu, kde se vydával za aplikaci Energy Rescue, která zvýší výdrž telefonu na baterii.

Autoři malwaru si dali záležet, aby aplikace vypadala skutečně atraktivně, a tak se může pochlubit vkusnou ikonou i rozhraním, které na první pohled opravdu evokuje funkční program.

Klepněte pro větší obrázek
Mobilní ransomware pronikl na i Play Store

Jenže ouha, po spuštění se rozbalí samotný malware, který zašifruje data ve veřejné paměti (SD/sdílená paměť), SMS, kontakty, a pokud bude telefon rootnutý, požádá o administrátorská práva a případně zašifruje celý telefon.

Poté se už Charger chová jako každý jiný ransomware a po oběti bude požadovat výkupné ve výši 0,2 BTC (asi 4,5 tis. CZK). Zajímavá je nicméně i výhružka, podle které útočník v případě nezaplacení prodá zašifrovaná data na černém trhu.

Ještě zajímavější než samotná funkce ransomwaru je ale v tomto případě rozbor, jak je možné, že virus neodhalila předběžná automatická kontrola Googlu a malware se dostal do Play Storu. Google před publikací každý programu automaticky spustí ve virtuálním prostředí a audituje jeho chování.

Autoři mobilního malwaru se tomu ale začínají přizpůsobovat a kód svých aplikací upravují tak, aby se pokusily detekovat běh v emulovaném prostředí. V takovém případě se pak záškodnická část kódu neaktivuje.

Klepněte pro větší obrázek
Úryvek kódu, který nespustí záškodnickou aktivitu, pokud je lokalizace telefonu nastavení na ruštinu, ukrajinštinu a běloruštinu (RU, UA a BY)

Tento malware šel ve své vlastní ochraně ještě mnohem dál a třeba textové řetězce, ve kterých byly uložené sdělení o tom, že byl telefon zašifrován a oběť má zaplatit výkupné, dodatečně šifruje převedením do pole bajtů. Automat Googlu tedy nemůže provést analýzu vložených textů. Do třetice útočníci do samotných instrukcí malwaru vnášejí určitou formu soli (šumu), která má znepříjemnit analýzu jejich posloupnosti. Malwarové instrukce tedy střídají všemožné další nesmyslné instrukce, které mají odvádět pozornost případného auditu a skrýt skutečný význam programu.

Virus mají na svědomí nejspíše programátoři z východní Evropy, ransomware totiž neútočí na mobilech s ruskou, ukrajinskou nebo běloruskou lokalizací. Důvodem nejspíše není to, že by se snad jednalo o patrioty, ale chrání se tím před případnou trestně-právní zodpovědností. V zemi jejich původu se jednoduše řečeno nejedná o malware, protože nijak neútočí.

Témata článku: Bezpečnost, Mobility, Mobilní aplikace, Android, Antivirus, Ransomware, Play Store, Malware, Google Play Store, Patriot, Rescue, Soli

26 komentářů

Nejnovější komentáře

  • TrueStory 29. 1. 2017 22:27:31
    Zvětšení baterie; zrychlení PC; zvětšení penisu; pasivní příjem bez práce...
  • Jaroslav V. 27. 1. 2017 8:45:36
    Nejvtipnejsi na tom je, ze na toto lide proste slysi. Lidi jsou posedli...
  • dustojnikhummer 27. 1. 2017 7:14:11
    Tak pokud nebyli dost chytří a nepřepsali recovery nebo bootloader tak by...
Určitě si přečtěte

To tu ještě nebylo. Specialisté ukázali, že zavirované mohou být i titulky SRT

To tu ještě nebylo. Specialisté ukázali, že zavirované mohou být i titulky SRT

** Stáhnete si film a titulky třeba z OpenSubtitles.org ** A osud vás za ten warez záhy potrestá ** Specialisté totiž ukázali, že i v titulcích může být schovaný virus

24.  5.  2017 | Jakub Čížek | 58

WannaCry se neměl vůbec rozšířit. Stačilo, abychom používali Windows Update

WannaCry se neměl vůbec rozšířit. Stačilo, abychom používali Windows Update

** WannaCry se masivně rozšířil kvůli zranitelnosti ve Windows ** Ta mu umožnila, aby se pokusil sám napadnout další počítače ** Jenže ta chyba už je dva měsíce opravená!

22.  5.  2017 | Jakub Čížek | 97


Aktuální číslo časopisu Computer

Bojujeme proti Fake News

Dva velké testy: fotoaparáty a NASy

Co musíte vědět o změně evropského roamingu

Radíme s výběrem základní desky